防火牆基本安全策略准則

 一、定期收集並查看防火牆日志

在配置防火牆之後會產生大量的日志信息。收集這些日志最重要的原因是對網絡活動的審計跟蹤。如果網絡遭受攻擊或者網絡資源的惡意使用，可以依據系統日志記錄作為證據。計算機

二、制定精確的入站ACL

必須嚴格控制流量從公共網絡或者不安全的方面進入到受保護網絡。

三、在不同方面保護DMZ

一些不懷好意的人會通過DMZ區攻擊內部網絡，如果在DMZ服務器和內部區域之間開放訪問（任何協議或端口），DMZ區就會成為一個“跳板”，使外部的惡意用戶能夠危害DMZ服務器，並使用它來危害內部其他主機。

四、多留意ICMP流量

當需要診斷到某台主機的訪問時間或網絡響應時間時,ICMP數據包是十分有用的。外部的惡意用戶可能使用ICMP來偵測或者攻擊位於DMZ或者內部網絡的活動的主機。最佳做法，只允許指定類型的ICMP數據包從外部進入網絡。

五、保存所有安全的防火牆管理流量

六、定時檢查防火牆規則